در بخش اول مقاله گفتیم که تهدیدات امنیت سایبری نشاندهندهی ریسک تجربه حملات سایبری هستند. یک حملهی سایبری عبارت است از تلاشی هدفمند و مخرب از سوی یک سازمان یا فرد برای نقض امنیت سیستمهای سازمان یا فردی دیگر. انگیزههای مهاجم میتواند شامل سرقت، سود مالی، جاسوسی یا خرابکاری باشد. سپس به بیان انواع اصلی تهدیدات سایبری پرداختیم. در ادامه ودر بخش دوم، به بررسی این نوع حملات خواهیم پرداخت.
حملات مهندسی اجتماعی
حملات مهندسی اجتماعی از لحاظ روانشناختی کاربران را فریب داده و باعث میشوند که کارهای مورد نظر مهاجم را انجام داده یا اطلاعات حساس را افشا کنند.
انواع حملات مهندسی اجتماعی
- Phishing: مهاجمان معمولاً از طریق ایمیل، مکاتباتی جعلی را ارسال میکنند که به نظر میرسد از منابع قانونی میآیند. این ایمیل ممکن است کاربر را ترغیب کند که کار مهمی را انجام داده یا روی یک لینک کلیک نماید و وارد وبسایتی مخرب شود، یا وی را فریب دهد تا اطلاعات حساسی را در اختیار مهاجم بگذارد یا خود را در معرض دانلودهای مخرب قرار دهد. ایمیلهای Phishing ممکن است شامل یک ضمیمهی ایمیل آلوده به بدافزار باشند.
- Spear Phishing: نوعی از Phishing است که در آن مهاجمان بهطور خاص افرادی را هدف قرار میدهند که سطح دسترسی یا تأثیر امنیتی بالایی دارند، مثلاً ادمینهای سیستم یا مدیران ارشد.
- حملات همنگاره یا Homograph – مهاجمان وبسایتهایی تقلبی را با آدرسهای وبی بسیار شبیه به وبسایتهای حقیقی ایجاد میکنند. کاربران بدون توجه به تفاوت اندک در URL، به این وبسایتها دسترسی پیدا کرده و ممکن است این گونه اطلاعات اعتباری یا اطلاعات حساس دیگر خود را در اختیار مهاجم قرار دهند.
حملات بدافزار و باجافزار
مهاجمان برای وارد کردن بدافزار به دستگاه یک کاربر، از روشهای زیادی استفاده میکنند. ممکن است از کاربران خواسته شود که اقدامی را انجام دهند، مثلاً روی یک لینک کلیک کنند یا ضمیمهای را باز نمایند. در موارد دیگر، بدافزار از آسیبپذیریهایی در مرورگرها یا سیستم عاملها استفاده میکند تا بدون اطلاع یا رضایت کاربر، خود را نصب نماید.
وقتی که بدافزار نصب شد، میتواند فعالیتهای کاربر را مانیتور کند، اطلاعات محرمانهای را به مهاجم بفرستد، در نفوذ به هدفهای دیگر در شبکه به مهاجم کمک کند و حتی باعث شود که دستگاه کاربر در یک Botnet شرکت نماید که توسط مهاجم برای اهداف مخرب مورد استفاده قرار میگیرد.
حملات مهندسی اجتماعی شامل موارد زیر هستند:
- ویروس Trojan: کاربر را فریب میدهد و خود را فایلی بیضرر نشان میدهد. یک Trojan میتواند حملهای را روی سیستم ایجاد کرده و یک Backdoor بسازد که مهاجم از آن استفاده نماید.
- باجافزار: جلوی دسترسی به دادههای قربانی را میگیرد و تهدید میکند که درصورت عدم پرداخت باج، دادهها را حذف یا افشا میکند.
- Malvertising: تبلیغات آنلاین که توسط هکرها کنترل میگردد و حاوی کدهای مخربی است که پس از کلیک روی تبلیغ یا حتی فقط مشاهدهی آن رایانهی کاربر را آلوده مینماید. Malvertising در بسیاری از انتشارات آنلاین پیشرو یافت شده است.
- بدافزار Wiper: هدف نابودی داده یا سیستمها را دارد و برای این کار فایلهای هدف را بازنویسی کرده یا کل فایل سیستم را نابود میکند. هدف Wiperها معمولاً این است که پیامی سیاسی بفرستند یا پس از استخراج داده، فعالیت هکر را مخفی کنند.
- دانلودهای Drive-by: مهاجمان میتوانند وبسایتها را هک کنند و اسکریپتهای مخرب را در کد PHP یا HTTP روی یک صفحه قرار دهند. وقتی که کاربران وارد صفحه میشوند، بدافزار مستقیماً روی رایانهی آنها نصب میگردد یا اسکریپت مهاجم کاربران را به یک سایت مخرب هدایت مینماید که دانلود را انجام میدهد. دانلودهای Drive-by از آسیبپذیریهای درون مرورگرها یا سیستم عاملها بهره میبرند.
- نرمافزار امنیتی Rogue: وانمود میکند که در حال اسکن کردن بدافزار است و سپس به طور منظم به کاربر هشدارها و شناساییهای تقلبی نشان میدهد. ممکن است مهاجمان از کاربر بخواهند که هزینهای پرداخت کند تا تهدیدات تقلبی از رایانهای وی حذف شوند یا نرمافزار ثبت گردد. کاربرانی که این مسئله را میپذیرند، جزئیات اطلاعات مالی خود را به مهاجم ارسال مینمایند.
حملات رمز عبور
یک هکر میتواند با Sniffing ارتباط به شبکه، استفاده از مهندسی اجتماعی، حدس زدن یا دسترسی به یک دیتابیس رمز عبور، به رمز عبور فردی دسترسی پیدا کند. یک مهاجم میتواند رمز عبور را به صورت تصادفی یا سیستمی حدس بزند.
حملات رمز عبور شامل موارد زیر هستند:
- حدس رمز عبور Brute-force: یک مهاجم از نرمافزاری استفاده میکند تا رمزهای عبور مختلفی را امتحان کند، با این امید که رمز عبور درست را حدس بزند. نرمافزار میتواند از منطقی برای امتحان کردن رمزهای عبور مربوط به نام فرد، شغل وی، خانوادهی او و غیره استفاده کند.
- حملهی دیکشنری: یک دیکشنری از رمزهای عبور متداول مورد استفاده قرار میگیرد تا دسترسی به رایانه و شبکهی قربانی انجام پذیرد. یکی از روشها این است که یک فایل رمزگذاریشده که رمزهای عبور روی آن قرار دارد کپی شود، رمزگذاری یکسانی به یک دیکشنری از رمزهای عبور که معمولاً مورد استفاده قرار میگیرد اعمال گردد و نتایج با هم قیاس شوند.
تهدیدات پیشرفته و مداوم یا APT
وقتی که یک فرد یا گروه دسترسی غیرمجازی را به یک شبکه بدست میآورد و در مدت زمانی طولانی کشف نمیشود، مهاجمان میتوانند دادههای حساسی را استخراج کرده و درهمینحال، مخصوصاً از کشف شدن توسط کارمندان امنیتی سازمان اجتناب نمایند. APTها نیازمند مهاجمان حرفهای و تلاشهای گسترده هستند، درنتیجه معمولاً در مقابل دولتها، شرکتهای بزرگ یا دیگر هدفهای بسیار ارزشمند انجام میشوند.
مبدأ تهدیدات سایبری
وقتی که یک تهدید سایبری شناسایی شد، مهم است که درک شود عامل تهدید کیست و همچنین تاکتیکها، تکنیکها و فرایندهای آنها (TTP) کشف شود. مبدأهای متداول تهدیدات سایبری شامل موارد زیر هستند:
- حمایت دولت: حملات سایبری توسط کشورها میتواند ارتباطات، فعالیتهای نظامی یا خدمات دیگری را که شهروندان هر روز از آنها استفاده میکنند، مختل نماید.
- تروریستها: تروریستها ممکن است به دولتها یا اهداف نظامی حمله کنند، اما گاهی اوقات وبسایتهای شهروندان را نیز هدف قرار میدهند تا آشوب و خسارتی طولانیمدت به جا بگذارند.
- جاسوسهای صنعتی: جرایم سازماندهیشده و جاسوسان سازمانی بینالمللی، جاسوسی صنعتی و سرقتهای پولی را به انجام میرسانند. هدف اصلی آنها مالی است.
- گروههای مجرم سازماندهیشده: گروههای مجرم برای سود مالی به سیستمها نفوذ میکنند. گروههای مجرم سازماندهیشده از Phishing، اسپم و بدافزار استفاده میکنند تا سرقت هویت و کلاهبرداری آنلاین را به انجام رسانند.
- هکرها: جمعیت جهانی بزرگی از هکرها وجود دارد، از تازهکاران گرفته تا افرادی که از ابزار تهدیدآمیز آمادهبهکار استفاده میکنند، تا اپراتورهای پیچیده که میتوانند انواع جدیدی از تهدیدات را ایجاد کرده و از دفاعهای سازمانی اجتناب نمایند.
- Hacktivistها: Hacktivistها هکرهایی هستند که به دلایل سیاسی یا ایدئولوژیک به سیستمها نفوذ یا آنها را مختل میکنند، نه به دلیل سود مالی.
- تهدیدات داخلی مخرب: افراد داخلی تهدیدی بسیار جدی محسوب میشوند، زیرا از قبل به سیستمهای سازمانی دسترسی داشته و در مورد سیستمها و دادههای حساس هدف، اطلاعات دارند. تهدیدات داخلی میتوانند بسیار خسارتبار باشند و شناسایی آنها بسیار دشوار است.
- جاسوسی سایبری – نوعی از حملهی سایبری است که در آن دادههای فکری حساس یا محرمانه به سرقت میرود تا نسبت به یک شرکت یا نهادی دولتی رقیب برتری کسب شود.